前言

携程有幸作为首批十家试点单位之一,受邀参加国家标准《DSMM 数据安全能力成熟度模型》(报批稿)(以下简称 DSMM)的试点自评估项目,并作为试点企业代表参加了信安标委召开的试点工作总结会;下面分享下我们对 DSMM 标准的一些理解和试点体会。

作者简介

Rainbow,携程信息安全团队合规工程师,CISSP认证专家、CISA认证信息系统审计师。目前负责内外部合规审计、内部风险评估及信息安全培训。

一、什么是DSMM?

DSMM 标准以数据为中心,重点围绕数据生命周期,从组织建设、制度流程、技术工具和人员能力四个方面进行安全保障。

DSMM 标准关注企业自身业务产生的数据和与外部第三方组织交互的数据,以衡量组织机构的数据安全能力,促进组织机构了解并提升自身的数据安全水平。

DSMM 标准原文数据安全能力成熟度模型架构如图 1 如示:

图 1:数据安全能力成熟度模型架构图

PS:本文对 DSMM 标准的介绍如无特别说明,均依据 2018.11.09 报批稿版本。

如图 1 所示,DSMM 标准包括:

  • 大安全能力维度(组织建设、制度流程、技术工具、人员能力);

  • 大数据安全过程维度(数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全);

  • 级(从低到高依次 1-5 级),DSMM 标准对不同等级进行了定义和描述,3 级标准共计 282 个评估项。

  • 大过程维度又可细分为共 30 个过程域,7 大过程维度与 30 个过程域对应关系如图 2 所示:

图2:数据安全过程域体系

如图 2 所示,每个过程域均划分为 5 级,每级从 4 个安全能力维度(组织建设、制度流程、技术工具、人员能力)提出具体的能力要求;

并非每级均包含完整的 4 个维度的能力要求,如图 2 所示,在 6.1 PA01 PA01 数据分类分级这一过程域中,仅 3 级要求包含完整的 4 个维度的要求;

对于每个数据安全过程域,高等级的能力要求包括所有低等级能力要求,针对某一具体数据安全过程域,如果 5 级的能力要求中未涉及某一关键能力的内容,则默认需达成在 4 级的能力要求中的该关键能力的内容,依此内推。

DSMM 标准和 ISO27000 标准、等保标准有何相同,又有何不同?

等保标准以备案系统为主要评估对象,偏向传统基础安全管理,侧重于物理安全、网络安全、安全建设管理等方面的安全保护。

ISO27000 侧重于信息安全管理体系的建设,作为体系化的指导文件帮助企业建立、实施和文件化信息安全管理体系(ISMS)的要求。

DSMM 强调数据保护,以数据为中心,在数据备份、数据销毁等方面与等保和 ISO27000 有重合,但是 DSMM 关注的数据采集、溯源、分析等视角,等保和 ISO27000 均未涉及,DSMM 对制度流程的要求均建立在具体的数据保护过程之上,DSMM 还强调对人员能力的评估。

DSMM 标准与等保一样有分级的概念,但关注的是数据整个生命周期的安全控制,与业务贴合更紧密。

DSMM 可以给企业带来什么好处?

DSMM 标准可为组织机构在不同阶段,开展数据保护建设,提供分级别的基本实践。

二、如何开展 DSMM 评估?

DSMM 评估的是整个组织机构的数据成熟能力,不局限于某一系统,如果公司业务复杂,数据规模较大,建议按照业务部门进行拆分,逐个击破。我们在 DSMM 标准评估过程中评估流程如下。

在具体实践中,我们按照不同的业务部门,分别进行评估。首先敲定各业务部门的负责人,由该负责人辅助评估过程中的资源协调工作。然后我们与各部门负责人一起梳理基本业务流程,结合 DSMM 的过程域,按照线上生产数据和线下离线数据两条线,确定各过程域的访谈部门和访谈人员,随着评估工作的开展,具体访谈人员会持续增加。

DSMM 实际访谈对象主要为开发和 IT 人员,包括开发、DBA、桌面等公共团队,也涉及到对产品、运营、HR、业务等岗位人员的访谈评估。

因为评估项较多,评估人员需仔细研读 DSMM 的评估项,提前对评估项进行总结归纳,信安标委后续提供的在线自评估工具也可作为评估辅助工具。

为了工作更高效开展,在开展 DSMM 评估之前,我们编制了 DSMM 评估工具检查表,如图 3 所示:

6.1 PA01 数据分类分级

过程域描述:基于法律法规以及业务需求确定组织机构内部的数据分类分级方法,对生成或收集的数据进行分类分级标示。

图3:DSMM Assessment Tool

三、DSMM 评估过程中可能遇到的问题

DSMM 评估结果,与评估人员对标准的理解有很大关系,如何更好的理解 DSMM 的要求并很好的传达给被评估人员?

建议:评估人员对标准进行归纳提炼,参考 DSMM 评估指南进行理解消化,与被评估人员进行交流时进行发散引导,不宜直接照本宣读 DSMM 的评估项。

DSMM 评估结果,受限于评估覆盖的范围和深度,以及被评估人员的配合情况。

建议:评估人员应提前做好相关准备,提前了解业务基本情况和基本工具,做到心中有数,访谈范围尽量全面;选择被访谈对象时尽量选择熟悉业务场景的资深人员,对访谈者反馈的情况需进行基本验证,如现场查看、文档查阅等。

总体来说,DSMM 标准为企业的数据生命周期的安全提供了比较好的实践要求,但是目前 DSMM 标准报批稿也存在着一些小问题,如部分评估项晦涩难懂或者冗长或者描述不清晰,企业的数据成熟能力需要达到什么级别,该级别对企业又意味着什么,目前的评估指南与 DSMM 评估标准也存在差距。相信在信安标委正式发布该标准时,以上问题会得到有效解决,会有更清晰详细的评估指南和工具指导企业进行落地评估。

声明:本文来自携程安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。